Apache .htaccess sicher?
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
anweisung
beispielsweise regelungen
code
dank
datei
einstellung
empfohlene einstellungen
hinsicht
interessanten dingen
kleinste problem
konfiguration
log
punkt
relativen pfaden
server
sorgen
standard
steuerung
url
zugriff
-
Hallo liebe Community,
ich habe einen Server, auf denen ich mehrere Webseiten laufen habe. Ich biete auch einigen Freunden an, ihre Webseiten auf meinem Server zu hosten. Jetzt ist mir in den Sinn gekommen, das man über die .htaccess einen Großteil der Config ändern kann, da „allowoverride all“ eingestellt ist, ich habe mich in der Dokumentation zum Apache belesen und möchte diese Einstellung gern ändern.
Wie bzw. Was sollte ich für die User, die meinen Server benutzen, über die .htaccess zulassen und was sollte ich nicht erlauben?
MFG Micha
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Hi,
nur meine Meinung:
Sperre alles was Manipulation in Hinsicht auf PHP ist.
AllowOverride Options legt fest, dass in einer .htaccess-Datei Anweisungen zur Steuerung spezieller Verzeichniseigenschaften zulässig sind.
AllowOverride Limit legt fest, dass in einer .htaccess-Datei Zugriffe von bestimmten Hosts erlaubt oder untersagt werden können.
AllowOverride Indexes legt fest, dass in einer .htaccess-Datei Anweisungen zur Steuerung von Verzeichnisindizes zulässig sind.
AllowOverride FileInfo legt fest, dass in einer .htaccess-Datei Anweisungen zur Akzeptanz bestimmter Dokumenttypen zulässig sind - beispielsweie, um Individuelle Fehlermeldungen ausgeben zu können.
AllowOverride AuthConfig legt fest, dass in einer .htaccess-Datei Autorisierungsanweisungen stehen dürfen - das betrifft beispielsweise Regelungen zum Passwortschutz.
Source: https://wiki.selfhtml.org/wiki/Webserver/htaccess
Diesen Bereich ist eigentlich so der Standard die man akzeptieren sollte.
Ich hoffe ich konnte dir damit helfen :)
Beitrag zuletzt geändert: 23.10.2015 12:56:56 von willstdueswissen -
Du solltest eher darauf achten, den Usern echte User-Accounts zuzuweisen und dafür sorgen, dass
1) ein User nur seine eigenen Dateien lesen/schreiben/sehen kann, nicht aber die von anderen Usern und
2) PHP mit den Rechten des Users ausführen lassen.
Ansonsten ist dein .htaccess-Ding das kleinste Problem … denn was nutzt das schon, wenn man zwar fast nichts verstellen kann, aber in PHP gerade mal »file_get_contents« o.ä. nutzen muss, um an Dinge zu kommen, die einem nicht gehören? Auch eine sinnvolle php.ini-Konfiguration ist sehr empfehlenswert.
Außerdem lässt sich via .htaccess eben nicht alles, und noch viel weniger von den interessanten Dingen verändern. Wenn du dann noch dafür sorgst, dass nicht benötigte Module (vermutlich willst du z.B. kein Proxy haben) auch nicht geladen sind, verringert sich das, was man per htaccess tun könnte, noch einmal. -
Hallo,
ich danke euch für eue Antworten, sie haben mir schon sehr weiter geholfen.
willstdueswissen schrieb:
Source: https://wiki.selfhtml.org/wiki/Webserver/htaccess
Dies habe ich auch schon gefunden, trotzdem Danke, nun weiß ich was ich freischalten kann bzw. solte.
hackyourlife schrieb:
Du solltest eher darauf achten, den Usern echte User-Accounts zuzuweisen und dafür sorgen, dass
1) ein User nur seine eigenen Dateien lesen/schreiben/sehen kann, nicht aber die von anderen Usern und
2) PHP mit den Rechten des Users ausführen lassen.
Das funktioniert bei mir schon, jeder User hat seinen eigenen Ornder mit den entsprechenden Rechten.
hackyourlife schrieb:
Auch eine sinnvolle php.ini-Konfiguration ist sehr empfehlenswert.
Dieser Punkt interessiert mich noch sehr, ich habe mich schlau gemacht und mal ein paar empfohlene Einstellungen zusammengesucht.
allow_url_fopen = off allow_url_include = off disable_functions = “apache_get_modules, escapeshellarg, escapeshellcmd, exec, ini_restore, passtru, popen, proc_nice, proc_open, shell_exec, symlink, syslog, system, ini_set” display_errors = off expose_php = off error_reporting = E_ERROR|E_WARNING|E_PARSE log_errors = on error_log = “/var/www/home/name/php.log” open_basedir = „/var/www/home/name/www/“ register_globals = off session.save_path = “/var/www/home/name/sess_tmp/” upload_tmp_dir = “/var/www/home/name/tmp/” enable_dl = off
Welche Einstellungen sollte ich noch tätigen, was würdet ihr mir noch empfehlen?
MFG Micha -
Wichtig ist immer die htaccess gilt für das jeweilige Verzeichnis und ALLE unterhalb, sofern da keine drin ist. Mehr Sorgen würd ich mir bei PHP machen - man kann mit relativen Pfaden Dateien anderer lesen, schreiben, löschen usw wenn die Rechte falsch gesetzt sind!
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage